グローバルナビゲーションへ

本文へ

フッターへ

お役立ち情報Blog

SSL暗号化通信について理解しよう

2016.05.13

WEB

セキュリティ

インターネット上におけるデータの送受信は、盗聴やなりすましによって悪意のある第三者にデータを悪用されてしまう危険性があります。よくあるケースとしては、ECサイトにおいて購入者の個人情報やクレジットカード、パスワードといった重要な情報が狙われ、悪用されてしまうケースです。

それらの問題を解決するのがSSL暗号化通信です。(以下、SSL)
SSL(Secure Sockets Layer)は、インターネット上での通信を暗号化する技術です。SSLを利用することで、ユーザーが利用するブラウザとサーバ間の通信を暗号化し、第三者によるデータの盗聴やなりすまし、改ざんなどを防ぐことができます。

ssl-catch

非SSL

非SSLのイメージ

SSL

SSL暗号化通信のイメージ

SSLの仕組み

では、どのように送受信されるデータを暗号化されているのか、暗号化のプロセスについて説明します。
SSLは、公開鍵暗号・共通鍵暗号・SSLサーバ証明書といった技術を利用してセキュリティを高めています。

  1. SSLを利用したサイト(サーバ)にユーザーがブラウザからアクセスします。(接続要求)
  2. サーバは、公開鍵が付いたSSLサーバ証明書をユーザーのブラウザに送付します。
  3. ブラウザは、サーバから送付されたSSLサーバ証明書を検証し、信頼できる認証局が発行された電子証明書であるかを確認します。(問題がある場合は警告が表示されます。)
  4. ブラウザは、証明書に問題がなければ、サーバ証明書に含まれる公開鍵を使って、以後の暗号化通信の際に利用する共通鍵を暗号化しサーバ側へ送信します。
  5. サーバは、あらかじめ公開鍵とペアで持っている秘密鍵を用いて、受け取った共通鍵を復号化します。

これで、ブラウザとサーバ間で同じ共通鍵を持つことができました。これ以後の通信は、

  1. ブラウザが、通信データを共通鍵で暗号化しサーバへ送信します。
  2. サーバは、受け取った暗号化された通信データを共通鍵で復号化し、実際のデータを取得します。

SSLの見分け方

SSLによって保護されているサイト(ページ)かどうかは、簡単に見分けることができます。
SSLが導入されているページでは、下記の図のようにアドレスバーに表示されるURL「http://」にセキュア(Secure)を表す「s」が付き、「https://」の形式になります。

WS000000

GoogleChromeのアドレスバー

SSLサーバ証明書の確認方法

サーバ側から送付されるSSLサーバ証明書もブラウザから確認することができます。
SSLサーバ証明書には、サイトの所有者や発行機関(認証局)・有効期限などを確認することができます。

Google Chromeの場合

証明書クロム

GoogleChromeにおけるSSLサーバ証明書の確認方法

Internet Explorerの場合

証明書IE

Internet Explorer11におけるSSLサーバ証明書の確認方法

※認証局が発行するSSLサーバ証明書には、1年・3年などの有効期限が設けられています。継続して利用する際、サイト管理者は、有効期限前に証明書の更新を行う必要があります。

SSLサーバ証明書の種類

SSLサーバ証明書には、ウェブサイト運営者の身元保証の保証レベルによっていくつかの種類があり導入コストも異なります。ウェブサイト運営者が必要性に応じて選択します。

ドメイン認証SSL(認証レベル1)

3つの認証レベルの中で、もっとも手軽な認証方式がドメイン認証(DV:Domain Validation)と呼ばれるものです。 証明書に記載されているドメインの使用権を、SSLサーバー証明書の所有者が所有していることを証明するものです。証明確認はメールのため証明書発行が早く、他の認証レベルの証明書と比較すると価格が安いことが特長です。SAKURA Internet

企業認証SSL(認証レベル2)

企業認証(OV:Organization Validation)と呼ばれ、法人サイトなどで一般的に使われている認証方式です。 法的に実在している企業・団体が運営しているサイトであることを証明するものです。 企業認証を取得するには各種書類の審査および申請者への電話確認が必要になるため、ドメイン認証と比べ、信頼性が高いことを証明することができます。SAKURA Internet

EV認証SSL(認証レベル3)

もっとも厳格な認証方式がEV認証(EV:Extended Validation)と呼ばれるものです。 企業認証の審査に加え、各種書類および第三者機関のデータベース等により、申請組織が法的・物理的に実在しているかを確認すると共に、申請者の在籍確認と電話確認を行います。 審査が厳格であるため、証明書の発行まで時間はかかりますが、緑のアドレスバー表示により、安全性をわかりやすくアピールすることができます。SAKURA Internet

認証レベル1のドメイン認証SSLは、認証発行が早く他の証明書と比較すると低コストというメリットがある反面、なりすまし対策にはあまり期待ができないといったデメリットもあります。
Webサイトに求めるセキュリティレベルや信頼性に応じて、認証レベルを選択する必要があります。

さいごに

SSLの基本を理解いただけましたでしょうか?

今や個人情報などの送受信を行うWebフォームのSSL対応は必須となってきていますが、最近では、GoogleやYahoo!などの検索エンジンをはじめ、一般のWebサイトにもSSL対応(常時SSL)が広がっています。

これは、スマートフォンやタブレットなどモバイル端末の普及による公衆無線LANの利用拡大に伴い、クライアントとサーバ間で送受信されるデータ(ログイン情報や閲覧データなど)を第三者に覗き見されるリスクが高くなっていることが背景にあります。
この機会にWebサイトのSSL対応についても検討してみてはいかがでしょうか?

この記事を書いた人

田村 奈優太
田村 奈優太事業開発部 次長
印刷会社の営業を経て、2008年にアーティスへ入社。webディレクターとして多くの大学・病院・企業のwebサイト構築・コンサルティングに携わる。2018年より事業開発部として新規サービスの企画立案・マーケティング・UI設計・開発に従事している。
資格:Google広告認定資格・Yahoo!プロモーション広告プロフェッショナル
この記事のカテゴリ
WEB セキュリティ
RECOMMENDED

関連記事

今さら聞けない「常時SSL」~ Chrome68から全HTTPサイトに警告表示 ~

サイト内検索も対象に!Chrome62からHTTPページに対するセキュリティ警告が拡大

Webサイト全体のHTTPS化「常時SSL」が必要な理由とメリットを理解しよう
NEW POSTS

最新記事

CodeIgniter4でAPIを使用してランダムユーザーを生成する方法

【Photoshop】アニメーション画像を作ってみよう!(APNG・WebP)【前編】

旅行の楽しさをちょっとプラス!全国津々浦々のアプリをご紹介! ~東日本編~

【jQuery】ページ内のどのコンテンツにいるのか分かるエレベーターメニューを実装してみた

パワポで簡単!画像にモザイクをかけてプライバシーを守りましょう!

【Go】ベンチマーク機能を使って高速でメモリ使用量の少ないプログラムを書こう

FOLLOW US

最新の情報をお届けします

RECOMMENDED

今さら聞けない「常時SSL」~ Chrome68から全HTTPサイトに警告表示 ~

サイト内検索も対象に!Chrome62からHTTPページに対するセキュリティ警告が拡大

Webサイト全体のHTTPS化「常時SSL」が必要な理由とメリットを理解しよう
FOLLOW US

資料ダウンロード

お問い合わせ

page top